Новости Новый штамм NodeStealer угрожает коммерческим аккаунтам на Facebook*

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Вредоносный Python душит ваш бизнес и заползает в криптокошельки.


6o4qhi27liw6c6vvlw52qq340x1knnsn.jpg


Специалисты по кибербезопасности Для просмотра ссылки Войди или Зарегистрируйся новую разновидность программы-вымогателя NodeStealer, написанную на Python . С помощью этого механизма хакеры могут без труда компрометировать коммерческие аккаунты на Facebook * и похищать криптовалюту.

Как сообщает компания Palo Alto Networks Unit 42, ранее неизвестный «штамм» был обнаружен в ходе киберкампании, начавшейся в декабре 2022 года. В настоящее время нет свидетельств того, что эта атака продолжается.

NodeStealer впервые описала компания Meta * в мае 2023 года, назвав его вредоносной программой, способной собирать пароли и куки-файлы из браузеров для взлома учетных записей Facebook*, Gmail и Outlook . Тогда образцы были написаны на JavaScript, а новые версии — уже на Python.

По словам исследователя Лиора Рошбергера из Unit 42, NodeStealer несет большую угрозу как для отдельных людей, так и для бизнеса. Помимо причинения финансового ущерба, программа ворует логины и пароли из браузеров, которые используются в дальнейших атаках.

Атаки начинаются с фишинговых сообщений о якобы бесплатных шаблонах для Excel и Google Таблиц. Жертвам предлагается скачать архив с Google Диска.

Внутри архива находится исполняемый файл NodeStealer. Он не только собирает данные об аккаунтах организаций, но и отключает антивирус Microsoft Defender, а также ворует криптовалюту с помощью учетных данных MetaMask .

Для загрузки вредоносного кода используется обход контроля учетных записей (UAC). Такой же метод применяют злоумышленники, распространяющие банковский троян Casbaneiro.

Кроме того, была обнаружена модифицированная версия NodeStealer с дополнительными функциями: парсинг писем из Outlook, антианалитические инструменты и даже попытки полного захвата аккаунтов.

После кражи данных NodeStealer отправляет их через Telegram API, а затем удаляет файлы, чтобы скрыть следы взлома.

Эксперты отмечают, что NodeStealer — часть растущего тренда среди мошенников из Вьетнама, которые стали часто взламывать бизнес-страницы на Facebook*.

Владельцам бизнес-аккаунтов рекомендуется использовать сложные пароли, двухфакторную аутентификацию и регулярно обучать сотрудников распознавать современные формы фишинга.

<span style="font-size: 8pt;">* Компания </span> Для просмотра ссылки Войди или Зарегистрируйся <span style="font-size: 8pt;"> и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.</span>
 
Источник новости
www.securitylab.ru

Похожие темы